Udostępnij za pośrednictwem

Przewodnik rozwiązywania problemów ze środkami uzyskanymi przez partnerów

  • Artykuł

Odpowiednie role: administrator globalny | Administrator zarządzania użytkownikami | agent Administracja | Administrator rozliczeń | Agent sprzedaży

Rozwiązywanie problemów z typowymi scenariuszami

Dzięki nowemu środowisku Commerce platformy Azure partnerzy mogą otrzymywać rabaty za pośrednictwem środków uzyskanych przez partnerów (PEC) dla usług zarządzanych. Środki PEC są przyznawane tylko partnerom z odpowiednimi uprawnieniami. Dowiedz się, kto kwalifikuje się do otrzymania środków PEC, jak są obliczane i jak wypłacane.

Ten artykuł zawiera podstawowe wskazówki dotyczące rozwiązywania problemów, jeśli nie udzielono pomocy.

Wymagania wstępne

Jeśli masz problemy z pec, takimi jak dostęp lub brakujące informacje, zacznij od sprawdzenia następujących elementów.

Uwaga

Tylko dostawcy pośredni i partnerzy rozliczani bezpośrednio kwalifikują się do zarabiania środków pieniężnych.

  • Upewnij się, że przeglądasz fakturę G (nowe środowisko handlowe) i plik recon. Plan i pec platformy Azure nie są wyświetlane na fakturze D (starsza wersja) ani w pliku recon.

  • Upewnij się, że umowa microsoft AI Cloud Partner Program jest aktywna.

  • Upewnij się, że Twoja oferta kwalifikuje się. (Starsze oferty platformy Azure, wystąpienia zarezerwowane platformy Azure, plany oszczędności platformy Azure, maszyny wirtualne typu SPOT platformy Azure i produkty innych firm nie kwalifikują się).

  • Upewnij się, że (lub odsprzedawca pośredni ustawiony jako odsprzedawca rekordu w planie platformy Azure) ma prawidłową Administracja ster w imieniu (AOBO) lub rolę kontroli dostępu opartej na rolach (Azure RBAC) dla subskrypcji/grupy zasobów/zasobu. Inna możliwość:

    • Jeśli używasz usługi Azure Lighthouse, upewnij się, że twój identyfikator PartnerID został połączony z co najmniej jednym kontem użytkownika. Sprawdź również, czy ma on dostęp do subskrypcji/grupy zasobów tego klienta.
    • Jeśli używasz skojarzenia RBAC platformy Azure, upewnij się, że użytkownik ma kwalifikującą się rolę pec i RBAC platformy Azure ustawioną w każdym kontekście dzierżawy klienta.

  • Sprawdź, czy klient usunął uprawnienia usługi AOBO. Uprawnienia zostały ustawione domyślnie podczas aprowizowania planu platformy Azure. Jeśli zostały usunięte, zobacz Przywracanie uprawnień administratora dla subskrypcji platformy Azure Dostawca rozwiązań w chmurze (CSP) klienta.

  • Upewnij się, że masz dostęp administratora przez cały dzień.

  • Upewnij się, że przeglądasz poprawne kolumny w plikach uzgodnień. Aby uzyskać więcej informacji, zobacz Rozliczenia planu platformy Azure: Informacje o pliku uzgodnień faktur.

Scenariusze wielopartnerowe

W przypadku pec ważne jest tylko, aby partner transakcji ustawił dowolną z dostępnych opcji uprawnień. W przypadku modelu pośredniego może to być dostawca, odsprzedawca lub oba te elementy.

Inne ustawienie partnera dodatkowe uprawnienia AOBO lub inne i ustawienie dodatkowej kontroli dostępu opartej na rolach platformy Azure dla użytkowników z uprawnieniami RBAC platformy Azure nie wpłynie na pec dla partnera transakcyjnego.

Zobacz poniższą tabelę. MPN1 jest dostawcą pośrednim, MPN2 jest odsprzedawcą pośrednim połączonym z transakcją jako odsprzedawcą rekordu, a MPN3 jest innym partnerem CSP (bezpośrednim lub innym odsprzedawcą pośrednim):

Partner transakcji (BillTo) Kontrola dostępu oparta na rolach platformy Azure (dla użytkownika lub usługi Lighthouse z rolą kwalifikującą się do pec) AOBO (rola kwalifikująca się do pec) Środki uzyskane przez partnera
MPN1 MPN1 Nie dotyczy Tak
MPN1 Nie dotyczy MPN1 Tak
MPN1 MPN2 Nie dotyczy Tak
MPN1 Nie dotyczy MPN2 Tak
MPN1 MPN3 MPN1 Tak
MPN1 MPN1 MPN3 Tak
MPN1 MPN1 MPN2 Tak
MPN1 MPN2 MPN1 Tak
MPN1 MPN2 MPN3 Tak
MPN1 MPN3 MPN2 Tak
MPN1 MPN3 Nie dotyczy Nie.
MPN1 Nie dotyczy MPN3 Nie.
MPN1 Brak Brak Nie.
MPN1 MPN3 MPN3 Nie.

Transfery subskrypcji platformy Azure

Gdy partner przeniesie subskrypcję platformy Azure z lub do innego partnera, żadne uprawnienia nie zostaną zmienione na potrzeby tego przeniesienia.

W związku z tym, jeśli model AOBO lub inny model uprawnień został użyty przed przeniesieniem, z uprawnieniami ustawionymi dla starego "partnera transakcyjnego", uprawnienia nadal będą wskazywać starego partnera po przeniesieniu. Ale teraz inny partner staje się "partnerem transakcyjnym".

W przypadku wszelkich transferów subskrypcji platformy Azure zaleca się, aby nowy partner docelowy dodał uprawnienia, takie jak kontrola dostępu oparta na rolach platformy Azure przed przeniesieniem. Mogą bezpiecznie to zrobić bez wpływu na PEC starego partnera do czasu przeniesienia.

Aktualizacje partnerID

Centrum partnerskie umożliwia zmianę identyfikatora PartnerID skojarzonego z rejestracją dostawcy CSP. Zaktualizowanie identyfikatora PartnerID do innego identyfikatora lokalizacji programu microsoft AI Cloud Partner Program w tej samej organizacji globalnej programu microsoft AI Cloud Partner Program (inny identyfikator lokalizacji programu partnerów w chmurze AI firmy Microsoft w ramach tego samego identyfikatora globalnego programu microsoft AI Cloud Partner Program) nie ma wpływu na pec.

Zmiana identyfikatora partnera na identyfikator lokalizacji w innej organizacji programu partnerskiego w chmurze sztucznej inteligencji firmy Microsoft może mieć jednak wpływ na wartość PEC. W tym przypadku, a gdy pec okaże się brakować, zalecamy skontaktowanie się z pomocą techniczną (wspomnieć, że niedawno ponownie zamapowaliśmy rejestrację dostawcy CSP na inną organizacji microsoft AI Cloud Partner Program).

Jak zweryfikować uprawnienia AOBO

Gdy partner tworzy subskrypcję planu platformy Azure dla klienta, usługa AOBO jest ustawiana w postaci "podmiotu zabezpieczeń zagranicznych. Podmiot zabezpieczeń zagranicznych dziedziczy uprawnienia właściciela w subskrypcji platformy Azure. Uprawnienia AOBO oznaczają, że określona grupa w dzierżawie Centrum partnerskiego programu CSP (Administracja Agents) odziedziczy te uprawnienia.

Podmiot zabezpieczeń zagranicznych, jak pokazano w witrynie Azure Portal, nie zawiera szczegółów dotyczących grupy, do której jest mapowanie w określonej dzierżawie partnera.

Po wyświetleniu podmiotu obcego w witrynie Azure Portal zostanie wyświetlona nazwa partnera, taka jak "Podmiot zabezpieczeń zagranicznych dla "Contoso", ale "Contoso" jest tylko nazwą wyświetlaną dzierżawy partnera Firmy Microsoft Entra i nie jest unikatowa.

Nazwy wyświetlane inne niż unikatowe.

Aby sprawdzić, czy moduł AOBO został poprawnie ustawiony za pomocą modułu AZ PowerShell lub interfejsu wiersza polecenia platformy Azure, upewnij się, że element AOBO jest poprawnie ustawiony, wskazując prawidłową grupę w odpowiedniej dzierżawie dostawcy usług kryptograficznych.

Krok 1. Identyfikowanie identyfikatorów obiektów grup agentów partnera transakcyjnego

  • Za pośrednictwem witryny Azure Portal: partnerzy mogą logować się do witryny Azure Portal we własnej dzierżawie i wyszukiwać odpowiednie grupy w grupach identyfikatorów > entra firmy Microsoft. Identyfikator ObjectID jest wyświetlany po prawej stronie nazwy grupy.

Pobieranie identyfikatora obiektu z interfejsu witryny Azure Portal.

Przed rozpoczęciem korzystania z usługi Azure Cloud Shell należy skonfigurować konto magazynu. To konto spowoduje naliczenie niewielkiego miesięcznego kosztu w subskrypcji platformy Azure dostępnej w kontekście dzierżawy. Udział można usunąć po wykonaniu poniższych kroków.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Upewnij się, że masz zainstalowane i zaktualizowane następujące moduły do najnowszej wersji:

W razie potrzeby zainstaluj cmdlets następujące moduły w oknach programu PowerShell:

Install-Module -Name AzureAD -Force

Install-Module -Name Az -AllowClobber -Force

Najpierw połącz się z dzierżawą Centrum partnerskiego przy użyciu konta użytkownika Centrum partnerskiego i pobierz identyfikatory obiektów grupy Administracja Agents i HelpdeskAgents:

Connect-AzureAD -TenantDomain CSPtenantname.onmicrosoft.com

Zaloguj się przy użyciu poświadczeń Centrum partnerskiego:

Przykładowy przykład połączenia Centrum partnerskiego.

Wykonaj zapytanie dotyczące informacji o grupach agentów:

Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }

Grupy ObjectID będą wyświetlane wraz z ich nazwami:

Przykład obiektu ObjectID grup.

Uwaga

Jeśli nie otrzymasz wyniku, upewnij się, że masz połączenie z kontem Centrum partnerskiego.

Uwaga

Odsprzedawcy pośredni nie będą widzieć grupy SalesAgents. Ten krok należy wykonać tylko raz, ponieważ usługa AOBO w każdej dzierżawie klienta będzie używać tych samych identyfikatorów.

Krok 2. Porównanie identyfikatorów ObjectID z identyfikatorami używanymi przez podmiot zabezpieczeń obcych

Ważne jest, aby użyć identyfikatora TenantID jako wartości parametru dzierżawy (zamiast nazwy domeny dzierżawy) z kontem użytkownika, które: — ma dostęp do wielu katalogów/dzierżaw, takich jak konto użytkownika Centrum partnerskiego, lub — został dodany jako goście do wielu dzierżaw.

W związku z tym potrzebujesz identyfikatora dzierżawy dla danego klienta.

  • Za pośrednictwem witryny Azure Portal: identyfikator dzierżawy można łatwo pobrać z listy klientów w Centrum partnerskim. Identyfikator dzierżawy ma etykietę "Microsoft ID":

    Identyfikator firmy Microsoft jako identyfikator dzierżawy.

  • Za pomocą programu PowerShell: Połączenie do subskrypcji platformy Azure klienta z prawidłowymi poświadczeniami. Poświadczenia powinny mieć uprawnienia do odczytu subskrypcji platformy Azure i usługi AzureAD dzierżawy klienta:

    Connect-AzAccount -Tenant $CustomerTenantID
    • Przeczytaj przypisania ról dla podmiotu zabezpieczeń zagranicznych subskrypcji platformy Azure klienta:
    Get-AzRoleassignment | ? {$_.DisplayName -like "Foreign*"}

    Przykładowe przypisanie roli powłoki.

    • Wynikowy identyfikator ObjectID powinien być zgodny z identyfikatorem ObjectID grupy Administracja Agent lub HelpDeskAgent zidentyfikowanej w kroku 1.

Podsumowanie

Każdy aspekt musi być zgodny, aby otrzymywać pec za pośrednictwem AOBO:

  • Subskrypcja platformy Azure klienta ma podmiot zagraniczny z kwalifikującym się przypisaniem roli RBAC platformy Azure.
  • Identyfikator ObjectID grupy używanej przez podmiot zabezpieczeń obcych odnosi się do identyfikatora ObjectID grupy Administracja Agent lub HelpdeskAgent w dzierżawie partnera.
  • "Dzierżawa partnera" oznacza dzierżawę partnera rozliczania bezpośredniego. W modelu pośrednim oznacza to dostawcę pośredniego lub dzierżawę partnera odsprzedawcy pośredniego.

Przykładowe skrypty

Ta sekcja zawiera przykładowe skrypty, które mogą ułatwić zbieranie informacji w wielu subskrypcjach i przechowywanie ich w obiekcie . Plik CSV. Te skrypty są przeznaczone jako przykłady i udostępniane bez obsługi. Chociaż skrypty nie wprowadzają modyfikacji w konfiguracji, należy je dokładnie przetestować, a dostosowanie może być wymagane w konkretnym scenariuszu partnera/klienta.

  • Wyświetlanie szczegółów AOBO dla pojedynczego klienta: w tym przykładzie użyto identyfikatora Microsoft Entra ID i modułów programu Azure PowerShell.
### Install-Module -Name AzureAD -Force ###
### Install-Module -Name Az -AllowClobber -Force ###
### Variables ####
$CSVname = "c:tempAOBOchecker.csv"
$CustomertenantId = ""
### Get Agent-Groups Object IDs and write to CSV - This step needs to be done with a Partner Center User ###
Connect-AzureAD -TenantDomain $PartnerTenantDomain
$Headers = "GroupName`tObjectID`tPartnerTenantName`tPartnerTenantID" >>$CSVname
$PartnerTenant = Get-AzureADTenantDetail
$groups = Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }
ForEach ($Group in $Groups)
{
$NewLine = $Group.DisplayName + "`t" + $Group.ObjectID + "`t" + $PartnerTenant.DisplayName + "`t" + $PartnerTenant.ObjectID
$NewLine >>$CSVname
}
### Get list of Azure Subscriptions for a customer, get list of Foreign Principals and add them to the same CSV ###
Clear-AzContext -Scope CurrentUser -Force
Connect-AzAccount -Tenant $CustomertenantId
$CustomerTenant = Get-AzureADTenantDetail
$CustomerTenantSubscriptions = Get-AzSubscription -TenantId $CustomertenantId
ForEach ($Subscription in $CustomerTenantSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$NewLine = $CustomerTenant.Domain + "`t" + $CustomerTenant.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName
$NewLine >>$CSVname
}
}
  • Wyświetlanie szczegółów AOBO dla wielu klientów: ten kod służy tylko do celów ilustracyjnych.
    • Pobierz listę wszystkich subskrypcji klientów programu CSP i wszystkich podmiotów zabezpieczeń zagranicznych i określ, czy wystąpiła niezgodność. Ten kod może również służyć do zbierania informacji na potrzeby pomocy technicznej.
    • Sprawdź, które subskrypcje platformy Azure (uprawnienia planu platformy Azure) zostały sprzedane i które są dostępne przy użyciu bieżących poświadczeń.
    • W przypadku odsprzedawców pośrednich ten skrypt działa również. Ale wszystkie subskrypcje miałyby notatkę "nie sprzedawane", nawet jeśli są partnerem rekordu w tej sprzedaży.
### Note - below examples use interactive login experience and aren't suitable for production use ###
### See https://learn.microsoft.com/partner-center/develop/enable-secure-app-model#powershell for info on how to authenticate to each customer tenant silently using secure app model ###
### Below examples use AzureAD, AZ and Partner Center PowerShell modules ###
### Install-Module -Name AzureAD -Force ###
### Install-Module -Name Az -AllowClobber -Force ###
### Install-Module -Name PartnerCenter -Force ###
### Variables ####
$PartnertenantDomain = "xyz.onmicrosoft.com"
$PartnerTenantID = ""
$CSVname = "c:tempAOBOchecker.csv"
### Get Agent-Groups Object IDs and write to CSV ###
Connect-AzureAD -TenantDomain $PartnerTenantDomain
$Headers = "GroupName`tObjectID`tPartnerTenantName`tPartnerTenantID" >>$CSVname
$PartnerTenant = Get-AzureADTenantDetail
$groups = Get-AzureADGroup | Where-Object { $_.DisplayName.Endswith('Agents') }
ForEach ($Group in $Groups)
{
$NewLine = $Group.DisplayName + "`t" + $Group.ObjectID + "`t" + $PartnerTenant.DisplayName + "`t" + $PartnerTenant.ObjectID
$NewLine >>$CSVname
}
### Get list of CSP Customers, get List of Azure Subscriptions, get list of Foreign Principals and add them to the same CSV ###
Connect-PartnerCenter -TenantID $PartnertenantID
$Customers = Get-PartnerCustomer
$Headers = "`r`nCustomerTenantName`tCustomerTenantID`tSubscriptionId`tForeignPrincipalName`tObjectID`tAzureRBACRole`tTimeChecked`tNotes`tCredentialsUsedForAccessCheck" >>$CSVname
Foreach ($customer in $Customers)
{
$AzurePlanId = Get-PartnerCustomerSubscription -CustomerId $Customer.CustomerId | ? {$_.OfferName -eq "Azure Plan"}
if ($AzurePlanID -eq $null)
{
Write-Host "Customer $($Customer.Name) does not have Azure Plan"
}
else
{
$AzurePlanSubscriptionsSold = Get-PartnerCustomerAzurePlanEntitlement -CustomerId $Customer.CustomerId -SubscriptionId $AzurePlanId.SubscriptionId
}
Clear-AzContext -Scope CurrentUser -Force
Connect-AzAccount -Tenant $Customer.CustomerId
$CurrentUser = Get-azcontext
$CustomerTenantSubscriptionsAccessible = Get-AzSubscription -TenantId $Customer.CustomerId
$SoldAndAccessibleSubscriptions = $AzurePlanSubscriptionsSold | Where {$CustomerTenantSubscriptionsAccessible -Contains $_}
$SoldButNotAccessibleSubscriptions = $AzurePlanSubscriptionsSold | Where {$CustomerTenantSubscriptionsAccessible -notcontains $_}
$NotSoldButAccessibleSubscriptions = $CustomerTenantSubscriptionsAccessible | Where {$AzurePlanSubscriptionsSold -notcontains $_}
ForEach ($Subscription in $SoldAndAccessibleSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName + "`t" + $CurrentTime + "`t" + "Access with current credentials and sold as CSP Partner" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
}
ForEach ($Subscription in $SoldButNotAccessibleSubscriptions)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + "N/A" + "`t" + "N/A" + "`t" + "N/A" + "`t" + "N/A" + "`t" + $CurrentTime + "`t" + "Sold via CSP, but no access with current credentials" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
ForEach ($Subscription in $NotSoldButAccessibleSubscriptions)
{
$Roles = Get-AzRoleassignment -Scope /subscriptions/$Subscription | ? {$_.DisplayName -like "Foreign*"}
ForEach ($Role in $Roles)
{
$CurrentTime = Get-Date -format "dd-MMM-yyyy HH:mm:ss"
$NewLine = $Customer.Domain + "`t" + $Customer.CustomerId + "`t" + $Subscription.Id + "`t" + $Role.DisplayName + "`t" + $Role.ObjectID + "`t" + $Role.RoleDefinitionName + "`t" + $CurrentTime + "`t" + "Access with current credentials, but not sold as CSP Partner" + "`t" + $CurrentUser.Account.Id
$NewLine >>$CSVname
}
}
}

  • Dane wyjściowe tego skryptu można następnie sformatować w następujący sposób:

    Przykład formatu danych wyjściowych.

Jak zweryfikować uprawnienia usługi Azure Lighthouse i azure PAL

Podobnie jak usługa AOBO, usługa Azure Lighthouse umożliwia grupom użytkowników w dzierżawie zarządzania (partnerem) dziedziczenie delegowanych uprawnień w subskrypcji platformy Azure klienta. Różnica polega na tym, że umożliwia bardziej szczegółową definicję grup i poziomów uprawnień niż AOBO.

W przypadku tego modelu uprawnień łatwiej jest sprawdzić, czy został poprawnie ustawiony przy użyciu interfejsu użytkownika witryny Azure Portal. Tylko partner może zapewnić pełną weryfikację, czy konfiguracja usługi Azure Lighthouse jest poprawna.

W poniższych krokach opisano sposób identyfikowania, dla których klientów uprawnienia roli RBAC platformy Azure zostały trwale delegowane i do których grup. Następnie możesz sprawdzić, czy użytkownik mający skojarzenie RBAC platformy Azure jest członkiem tych grup.

Krok 1. Sprawdzanie delegowania usługi Lighthouse na klientach

Sprawdź, czy odpowiednie delegowanie korzysta z kwalifikujących się ról RBAC platformy Azure.

  • Otwórz witrynę Azure Portal (z użytkownikiem z dzierżawy zarządzania partnera). Następnie wyszukaj ciąg "Lighthouse" i wybierz pozycję Moi klienci.

    Przykład usługi Platformy Azure Lighthouse.

  • W obszarze Przegląd klienta wybierz pozycję Delegowanie po lewej stronie. Spowoduje to otwarcie listy zasobów (subskrypcji lub grup zasobów), w których udostępniono dostęp delegowany:

    Strona Delegowanie.

  • Otwórz delegacje w prawej kolumnie w obszarze "Przypisania ról", aby zobaczyć, która grupa użytkowników w dzierżawie partnera/zarządzania dziedziczy każdy rodzaj uprawnień (zobacz kolumnę "Rola"). Możesz również sprawdzić, czy te uprawnienia są trwałe (zobacz kolumnę "Typ dostępu"):

    Strona przypisań ról

Krok 2. Sprawdzanie członkostwa w grupie

Wybierz nazwę wyświetlaną grupy. W tym celu zostaną otwarte szczegóły grupy. Wybierz pozycję "Członkowie", aby kontrolować, który użytkownik ma ustawioną kontrolę dostępu opartą na rolach platformy Azure i jest członkiem odpowiedniej grupy:

Członkostwo w grupie.

Krok 3. Sprawdzanie, czy użytkownik skonfigurował usługę Azure PAL

Tylko użytkownik, który ustawił usługę Azure PAL, może sprawdzić przypisanie usługi Azure PAL; żaden inny administrator nie może tego zrobić. Zobacz Jak mogę wyjaśnić partnerowi Administracja Link (PAL) do mojego klienta? w temacie Łączenie konta platformy Azure z identyfikatorem PartnerID, aby uzyskać więcej informacji na temat tego, jak użytkownik może sprawdzić, czy skonfigurowano usługę Azure PAL za pośrednictwem interfejsu użytkownika lub programu PowerShell.

Uwaga

Usługa Azure PAL powinna używać identyfikatora PartnerID będącego częścią tej samej organizacji programu Microsoft AI Cloud Partner Program, która jest partnerem transakcyjnym dla tej subskrypcji platformy Azure. W modelu pośrednim może to być partnerID dostawcy lub określony odsprzedawca dołączony do tej sprzedaży.

Krok 4. Sprawdzanie przypisań grup powiązanych czasowo

Ponieważ członkostwo w grupie może nie być trwałe, sprawdź, czy grupa została włączona na potrzeby zarządzania dostępem uprzywilejowanym. Sprawdź, gdzie "Dostęp uprzywilejowany" po lewej stronie w obszarze "Działanie" w ustawieniach grupy. Jeśli wartość true, sprawdź, czy użytkownik ma aktywne przypisanie i przedział czasu dla tego przypisania.

Uwaga

Ponieważ przypisanie "godzina zakończenia" jest wtedy, gdy użytkownik zostanie automatycznie usunięty z grupy, pec zostanie utracony dla użytkowników, którzy mieli ustawioną kontrolę dostępu opartą na rolach platformy Azure. Podobnie pec zostanie przyznany tylko po przypisaniu "godzina rozpoczęcia".

Grupa dostępu uprzywilejowanego.

Jak zweryfikować indywidualne przypisanie użytkownika i usługę Azure PAL

W niektórych przypadkach może być bardziej odpowiednie do pracy z poszczególnymi kontami użytkowników z uprawnieniami do subskrypcji platformy Azure. Te konta mogą być kontami użytkowników-gości (z dowolnej dzierżawy) lub kontami użytkowników utworzonymi w dzierżawie klienta lub jednostkach usługi.

W przypadku korzystania z indywidualnych kont użytkowników jako pojazdu w celu uzyskania pec, sprawdzanie polega tylko na przejrzeniu przypisanych uprawnień w zarządzaniu subskrypcjami platformy Azure dla użytkownika i zweryfikowaniu, czy użytkownik prawidłowo ustawił kontrolę dostępu opartą na rolach platformy Azure. W przypadku użycia jednostki usługi sprawdzanie kontroli dostępu opartej na rolach platformy Azure musi nastąpić za pośrednictwem programu PowerShell.

Krok 1. Przegląd uprawnień w zarządzaniu subskrypcjami platformy Azure

  • Otwórz portal Azure Portal. Upewnij się, że zalogowano się jako użytkownik z rolą RBAC platformy Azure z co najmniej dostępem do odczytu do danej subskrypcji.

  • Wyszukaj ciąg "Subskrypcje" na pasku wyszukiwania, aby otworzyć szczegóły subskrypcji:

    Strona szczegółów subskrypcji.

  • Przejdź do pozycji "Kontrola dostępu (IAM)" w szczegółach subskrypcji. Następnie wybierz pozycję "Przypisania ról", aby przejrzeć użytkowników, którzy mają dostęp na poziomie subskrypcji, a jeśli w kolumnie "Rola" są wyświetlane role RBAC platformy Azure, które kwalifikują się do korzystania z ról RBAC platformy Azure. Jeśli uprawnienia zostały ustawione na poziomie grupy zasobów, ten sam widok "Kontrola dostępu (IAM)" jest również dostępny w grupie zasobów.

Uwaga

Uprawnienia można również przyznać grupie użytkowników, dla których należy również zweryfikować członkostwo w grupie użytkownika z ustawioną kontrolą dostępu opartą na rolach platformy Azure.

Kontrola dostępu.

Krok 2. Upewnij się, że uprawnienia są trwałe i że nie mają zastosowania żadne przypisania odmowy

Chociaż może to wyglądać tak, jakby użytkownicy mieli dostęp, ich uprawnienia mogą być nadal tymczasowe lub blokowane za pośrednictwem przypisań odmowy.

Przypisanie roli RBAC platformy Azure przy użyciu usługi Privileged Identity Management (PIM) może być ograniczone czasowo. Chociaż użytkownicy mogą mieć uprawnienia, mogą istnieć tylko przez krótki czas. Aby sprawdzić, czy przypisanie roli RBAC platformy Azure jest trwałe, sprawdź administrowanie usługą PIM w witrynie Azure Portal. W szczególności sprawdź, gdzie zasoby platformy Azure w subskrypcji są zarządzane przez zasady usługi PIM, a jeśli użytkownik podlega wszelkim zasadom.

Subskrypcja platformy Azure nie jest zarządzana za pośrednictwem usługi PIM.

Ponadto lista uprawnień może wskazywać, że użytkownik ma uprawnienia do subskrypcji, ale mogą istnieć przypisania Odmowy, które nadal blokują użytkownikowi dostęp do czegoś. W obszarze "Kontrola dostępu (zarządzanie dostępem i tożsamościami) wybierz kartę Odmów przypisania, aby sprawdzić, czy mają zastosowanie przypisania odmowy:

Odmów przypisań.

Uwaga

Aby zapewnić kompletność, partnerzy powinni również sprawdzić, czy w grupach zasobów nie istnieją przypisania odmowy w ramach subskrypcji.

Krok 3. Sprawdzanie, czy użytkownik skonfigurował usługę Azure PAL

Tylko użytkownik, który skonfigurował usługę Azure PAL, może sprawdzić przypisania usługi Azure PAL; żaden inny administrator nie może tego zrobić. Aby uzyskać więcej informacji na temat tego, jak użytkownik może sprawdzić, czy skonfigurowano usługę Azure PAL, zobacz Łączenie konta platformy Azure z identyfikatorem PartnerID.

Uwaga

Usługa Azure PAL powinna używać identyfikatora PartnerID będącego częścią tej samej organizacji programu Microsoft AI Cloud Partner Program, która jest partnerem transakcyjnym dla tej subskrypcji platformy Azure. W modelu pośrednim może to być partnerID dostawcy lub PartnerID odsprzedawcy dołączonego do tej sprzedaży.

Następne kroki